728x90
- 파이어아이(FireEye)는 구글플레이에 있는 유명한 앱 중 2/3가 SSL 취약점을 포함하고 있기 때문에
중간자
(MITM:Man-in-the-middle)공격으로 안드로이드 사용자를 "사정없이 파괴"한다고 발표
주요내용
- 파이어아이 모바일 위협 연구원 Adrian Mettler, Vishwanath Rammand 그리고 Yulong Zhang은 구글
플레이
에서 인기 있는 무료 앱 1,000개를 다운로드 해서 조사해 본 결과 674(68%)이 특정 SSL 취약점을 가진다고
블로그에 포스트하여 설명
- 1,000개 중 614개의 앱은 원격 서버와 통신하기 위해 SSl/TLS를 사용할 뿐만 아니라, 73%는 공격할 수 있는
불특정 다수에게 서버로 전송할 데이터를 노출시키면서 전체 서버 인증을 전혀 체크하지 않음
- 이 614개의 앱 중 약 8%는 호스트네임을 체크하지 않는 호스트네임 체크기를 사용
※ 올바른 호스트네임 체크기는 공격자가 컨트롤하는 악성웹서버로 리다이렉트되는 공격을 탐지할 수 있음
- 이 중 77%는 서버 페이지를 제공하기 위해 Webkit를 사용할 때, JBOH(Javascript Blinding Over HTTP)
취약점을 Exploit하는 중간자 공격을 놓치며, 유발된 SSL 에러를 무시함
- 관련 연구자들도 구글 플레이에서 다운로드 가능한 10,000개 무료 안드로이드 어플리케이션에서 임의샘플을
추출하여 비슷한 연구를 해왔고, 40%는 서버를 점검하지 못하면서 관리를 하고 있으며, 7%는 호스트네임을
체크하지 않는 호스트네임 체크기를 사용하고, 13%는 webkit를 사용할 때 SSL 오류를 점검하지 않는다고
언급 - 앱 중에 전 세계 2억 5천만 다운로드 한 Camera360 Ultimate는 대표적인 사례
- Camera360에서 사용하는 광고 라이브러리에서 SSL 취약점을 상속하여 사용하고, 응용 프로그램의 관리자
중 누구도 서버 인증서를 확인하지 않는다고 파이어아이 관계자는 언급
- 또 다른 관점에서 이 취약점은 Exploit하는 중간자공격으로 어플리케이션과 그 리모트 서버 사이에 모든
HTTPS 트래픽을 가로채서 사진 혹은 앨범을 훔치고, Camera360 사용자의 계정, 기기의 사양을 탈취하는데
사용됨
- 중간자 공격은 해커가 서버로 유입 혹은 서버에서 유출된 데이터를 가로챌 때 일어나며 중각자공격의 목적은
데이터 자체를 훔치거나 악성 데이터로 바꾸고, 공격자에 의해 컨트롤 되는 새로운 목적지로 트래픽을
리다이렉트하기 위함
- 앱의 개발자들은 이러한 취약점을 해결했다고 언급하고 있지만, 그럼에도 불구하고 이 연구는 구글 에코
시스템에서 지속적인 보안 문제로 대두되고 있음
[출처]
1. http://www.infosecurity-magazine.com/news/ssl-vulnerabilities-popular/
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
| 구글의 사이버 해킹 대응팀 'Project Zero'의 활발한 제로데이 취약점 연구 활동 동향 (0) | 2014.09.12 |
|---|---|
| 75,000대 iOS 단말을 감염시킨 후 2,200만개 광고의 수익을 가로챈 악성코드 등장 (0) | 2014.09.12 |
| Facebook의 신용을 악용한 사기 발견 (0) | 2014.09.12 |
| 구글 지메일 등 안드로이드앱 해킹에 취약 (0) | 2014.09.12 |
| Chrome 확장 기능의 보안 조치를 회피하는 악성 프로그램 확인 (0) | 2014.09.12 |